이 자리에서 자율규제위원회 전하진 위원장은 "협회의 자율규제는 건강하고 안전한 암호화폐 거래소 생태계를 구축하고 이용자 보호 방안을 마련하기 위해 준비되었다"며 "자율규제는 암호화폐 이용자 보호 등에 관한 규정, 암호화폐 취급업자의 금전 및 암호화폐 보관 및 관리 규정, 자금세탁행위방지에 관한 규정, 시스템 안정성 및 정보보호에 관한 규정 등으로 구성되어 있다"고 설명했다.
협회 자율규제위원회는 자율규제를 바탕으로 일반 부문, 보안성 부문을 구분해 지난 5월부터 제1차 자율규제심사를 진행해 왔다. 제1차 자율규제심사는 여러 회원사들 가운데 자체적으로 심사준비가 된 12개 회원사를 대상으로 했다. 이 심사는 일반심사와 보안성 심사, 투트랙으로 진행되었다.
먼저 일반심사에서는 재무정보 체계, 거래소 이용자에 대한 기본 정보제공 체계, 거래소 이용자에 대한 투자 정보제공 체계, 민원관리 시스템 체계, 이용자 자산 보호 체계, 거래소 윤리 체계, 자금세탁방지 체계 등의 항목을 다뤘다.
세부적으로 자기자본 20억원 이상, 보유자산의 관리방법 및 공지 여부, 코인 상장절차, 민원관리 시스템 체계, 자산보호 체계인 콜드월렛 70%이상 보유, 시세조종금지, 내부자거래 금지, 자금세탁방지 부문 등 총 28개의 심사항목을 엄정한 기준으로 심사를 실시하였다.
심사는 다음과 같이 진행됐다. 먼저 지난 5월 1일에 회원사가 제출한 서면 심사자료를 검토했다. 이후 미흡한 부분에 한 보완요청을 거쳐 제출된 심사자료를 근거로 5월 30일 자율규제위원들이 각 회원사 실무 책임자 및 임원에 대한 인터뷰를 진행했다. 그 이후 추가 자료보완 작업이 진행됐고 최종 심사를 진행했다.
위원장은 "이번 심사가 특히 이용자 보호 부문을 강화할 수 있는 계기가 됐다고 생각한다. 물론 여러 회원사들은 자체적으로 협회 자율규제 기준 이상의 목표 달성을 위해 노력을 기울일 것"이라고 전했다.
다음은 보안성 심사에 대해서다. 보안성 심사는 그 특성상 5월 8일까지 제출된 심사자료를 바탕으로 인터뷰 심사를 진행됐다. 회원사의 책임있는 보안담당자를 대상으로 6월 2일, 13일, 27일, 7월 7일까지 총 4차례의 인터뷰 심사가 진행되었다.
이 자리에서 김용대 블록체인협회 정보보호위원장(KAIST 교수)는 "보안성 심사 결과의 경우, 전체 거래소의 보안성은 전반적으로 준수한 편이나, 각 개별 거래소들간의 보안 수준에는 편차가 있었다"며 "또한 특정 영역(WAS 등 외부 서비스 구간)에 치중된 점검을 수행하거나 단순 스크립트를 이용한 점검 등의 취약점 점검 절차, 범위 설정 및 방법론 상의 미흡한 부분이 발견되었다"고 전했다.
이어 "회원사들에게는 추후 취약점 점검 시 외부 서비스 구간 뿐만 아니라 내부 주요 자산을 보호하기 위한 보안 솔루션 및 내부 업무용 주요 서버 등으로 점검대상을 확대해 보다 면밀하고 강도 높은 점검이 필요할 것"이라며 "이번 1차 심사를 통과했다는 것은 기본적인 보안성을 유지하기 위한 최소 조건을 만족했음을 의미하며 따라서 강건한 보안 아키텍쳐를 설계했음을 담보할 수는 없다"고 덧붙였다.
따라서 각 회원사는 이와 같은 사실을 인지하고 보안성 향상을 위한 투자를 지속해야 한다고 강조했다. 과거의 사고 경험과 더불어 현재 발전하고 있는 새로운 공격 및 방어 기술을 지속적으로 연구하고 습득해 거래소 및 고객의 자산을 보호하기 위한 방법을 점진적으로 고도화해 나가야 한다는 것이다.
또 이 심사는 심사자료와 각 거래소 자체 진단 결과 및 인터뷰를 기반으로 평가한 것이므로 실제 현장의 보안성을 높이기 위한 노력도 필요할 것이라고 강조했다.
한편 이번 1차 심사가 체크리스트로 이루어진 서류 및 면접 심사였기 때문에 향후 보다 현장 중심의 보안심시가 필요하다는 지적도 많았다.
이에 김 위원장은 "거래소는 암호화폐라는 금전적 가치가 있는 자산을 보관하고 거래하기 때문에 늘 해커의 공격대상이 될 수밖에 없고 다양한 루트로 공격을 받을 수 밖에 없다. 보다 효과적인 보안시스템 구축을 위해 협회 회원사 거래소들은 상호협력 네트워크를 구축할 계획"이라며 "보다 발전된 거래소 보안을 위해 거래소 설계, 구현, 운영에 대한 베스트 프랙티스, 기존 사고 사례 분석, 취약점 분석의 방향 등 네거티브 규제를 위한 구체적인 방향에 대해 정보보호위원회에서는 거래소와 정보보호 업체를 대상으로 거래소 보안 컨퍼런스의 개최를 논의중"이라고 전했다.
또 향후에는 암호화폐 거래소의 안정성과 투명성 제고 및 이용자 보호를 위한 △거래소 내 이상매매거래 탐지시스템 △의심거래자 입출금 차단 시스템 △해킹 발생 시 상호비상연락망을 통한 공동대응 체계 △암호화폐 거래소 단체보험 가입 등을 검토해 이용자를 보호할 수 있는 사전예방 및 사후대책을 준비할 예정이라고 밝혔다.
마지막으로 전하진 위원장은 "일반심사와 보안성 심사에 걸친 자율규제 심사 통과는 이용자 보호의 가장 기본적인 요건이 충족되었음을 의미한다. 국내 수 십개의 거래소 중에 최소한 외부의 심사를 받아 협회가 제시한 자율적인 요건을 갖춘 거래소가 12개가 된 것이다. 나머지 거래소들도 어떤 식으로든 객관적인 심사를 통해 거래소 운영에 대한 요건을 갖춰야 한다"며 "블록체인 생태계에서 거래소 역할의 중요성과 그 사회적 책임에 대해 깊이 공감한다. 협회와 회원사 공동으로 추진하는 자율규제는 국내외 첫 사례이기에 지속적인 개선과 안정적인 정착을 위해 함께 노력해야 한다. 앞으로도 암호화폐 거래소와 한국 블록체인산업이 더욱 건전하게 발전할 수 있도록 전문가 여러분들의 지속적인 관심과 격려를 부탁한다"고 전했다.
★정보보안 대표 미디어 데일리시큐!★
